Udostępnij za pośrednictwem


Enklawy SGX

Technologia Intel SGX umożliwia klientom tworzenie enklaw, które chronią dane, i przechowywanie danych zaszyfrowanych podczas przetwarzania danych przez procesor CPU.

Zabezpieczone części procesora i pamięci sprzętu to enklawy. Nie można wyświetlać danych ani kodu wewnątrz enklawy, nawet w przypadku debugera. Jeśli niezaufany kod próbuje zmienić zawartość w pamięci enklawy, SGX wyłącza środowisko i odmawia operacji. Te unikatowe funkcje pomagają chronić Twoje sekrety przed dostępem w niezaszyfrowanej formie.

Diagram modelu maszyny wirtualnej przedstawiający dane zabezpieczone w enklawach.

Pomyśl o enklawie jak o zabezpieczonej skrytce. Zaszyfrowany kod i dane są umieszczane w skrytce. Z zewnątrz nic nie widać. Przekazujesz enklawie klucz do odszyfrowania danych. Enklawa przetwarza i ponownie szyfruje dane przed wysłaniem danych z powrotem.

Poufne przetwarzanie na platformie Azure oferuje maszyny wirtualne serii DCsv2 i DCsv3/DCdsv3 . Te maszyny wirtualne mają wsparcie dla rozszerzeń Intel® Software Guard (SGX).

Każda enklawa ma zaszyfrowaną pamięć podręczną stron (EPC) o ustawionym rozmiarze. EPC określa ilość pamięci, którą może pomieścić enklawa. Maszyny wirtualne serii DCsv2 przechowują do 168 miB. Maszyny wirtualne serii DCsv3/DCdsv3 przechowują do 256 GB w przypadku większych obciążeń intensywnie korzystających z pamięci.

Rozwój w enklawach

Do tworzenia aplikacji uruchamianych w enklawie można użyć różnych narzędzi programowych. Te narzędzia ułatwiają osłonę fragmentów kodu i danych wewnątrz enklawy. Upewnij się, że nikt spoza zaufanego środowiska nie może wyświetlać ani modyfikować danych za pomocą tych narzędzi.

Następne kroki